Распространяются вредоносные документы Word, замаскированные под обычные URL-адреса MS Office

security Security

Недавно был зафиксирован случай распространения через определенные пути (например, групповые чаты KakaoTalk) вредоносного ПО, замаскированного под документ Word.

Группа анализа ASEC обнаружила в процессе дополнительного мониторинга, что URL, используемый в поддельных документах Word, очень ловко маскируется под обычный URL, и мы хотим посоветовать пользователям проявлять осторожность.

В настоящее время идентифицированные имена файлов вредоносных документов Word выглядят следующим образом.
Настоящие имена корейцев, встречающиеся в названиях файлов, были удалены (○○○○), но важно отметить, что это были имена специалистов в области дипломатической безопасности, и названия файлов были связаны с Северной Кореей, Китаем, опросами или дипломатической безопасностью.

  • International Legal Review of the Northern Limit Line (NLL) Issue and.docx
  • Implications and Prospects of Xi Jinping’s Third Term.docx
  • National Security Organizations.docx
  • NK, Unprecedented Offensive and Provocative Survey.docx
  • ○○○, RIES_Issue Insight_Vol.33, Xi Jinping’s Third Term Begins – Where Is China Headed.docx
  • (Debate2_Reference-1)Chip_4Alliance and Korea’s Choice (○○○ contribution).docx
  • (Debate2_Reference-2)Chip_4Alliance and Foreign Policy.docx
  • (World Korean) Implications and Future Prospects of Xi Jinping’s Third Term.docx
  • Fashion and Human Rights Survey.docx

Все вышеперечисленные файлы являются документами Word в формате OOXML (Office Open XML). и в атаке использовалась функция Template Injection. Следующий XML-код показывает настройки.sml.rels файла в конкретном документе Word.

Примечательно, что адрес, используемый для внешнего URL, стал очень похож на обычный URL. Изучив корневую доменную зону следующего URL, можно увидеть, что он был тщательно замаскирован путем замены одного символа в openxmlformats.org на openxmlformat[.]org.

Нормальный URL: http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate
Вредоносный URL: hxxp://schemas.openxmlformat[.]org/officeDocument/2006/relationships/o/word?officeid=NPW5D●●●DBS3V

Кроме того, было установлено, что в атаках использовались следующие форматы URL, и мы видим, что они были ловко замаскированы до такой степени, что пользователи могут легко спутать вредоносные домены с обычными доменами, такими как ms-office[.]services / ms-offices[.]com / offices.word-template[.]net.

hxxps://ms-office[.]services/templates-for-word/download?id=79B9●●●I9RWT
hxxps://ms-office[.]services/templates-for-word/download?id=V2BX●●●●WE1A
hxxps://ms-office[.]services/templates-for-word/download?id=I5I2●●●●MGW
hxxps://ms-office[.]services/templates-for-word/download?id=EFHO●●●●5UCV
hxxps://ms-offices[.]com/templates-for-word/download?id=ZQ9H●●●●YP8G
hxxps://ms-offices[.]com/templates-for-word/download?id=AL03●●●KZ2
hxxps://ms-offices[.]com/templates-for-word/download?id=DTF●●●SE6
hxxp://offices.word-template[.]net/office/template?view=GYIJ●●●●0D4E

Свойства некоторых из собранных файлов Word показали, что они были созданы и распространены беспорядочно в течение нескольких дней с небольшими интервалами.

Пользователи должны обновить V3 до последней версии и воздержаться от открытия файлов документов из неизвестных источников.

Кроме того, учитывая, что вредоносные документы в настоящее время распространяются без разбора, пользователям рекомендуется уточнять у отправителя файла информацию о его передаче, даже если файл был переслан от надежного пользователя.

Indicators of Compromise

URLs

  • https://ms-office.services
  • https://ms-offices.com
  • http://offices.word-template.net
  • http://schemas.openxmlformat.org

MD5

  • d698fccf14f670595442155395f42642
SEC-1275-1
Добавить комментарий